LGPD au Brésil et Guest WiFi : un guide de conformité

Le LGPD brésilien et le WiFi invité : un guide de conformité. Un briefing de Purple Intelligence. Bienvenue dans ce briefing de Purple Intelligence. Je suis votre hôte, et aujourd'hui nous abordons un sujet que tout responsable informatique, architecte réseau et responsable de la conformité opérant au Brésil se doit de maîtriser : la Lei Geral de Proteção de Dados — la LGPD — et plus particulièrement ce qu'elle implique pour vos déploiements de WiFi invité. Si vous êtes déjà conforme au GDPR pour l'ensemble de vos activités européennes, vous pourriez penser que le Brésil n'est qu'un simple prolongement de ce travail. Et vous auriez en partie raison — mais en partie seulement. La LGPD présente des différences significatives qui piégeront les multinationales se contentant de copier-coller leur politique de conformité européenne. De plus, avec l'ANPD — l'autorité brésilienne de protection des données — qui renforce constamment ses capacités de contrôle, la période de tolérance pour une approche approximative touche rapidement à sa fin. Entrons donc dans le vif du sujet. Nous allons aborder le cadre juridique, les bases légales qui s'appliquent réellement aux inscriptions au WiFi, la comparaison entre l'ANPD et des régulateurs comme l'ICO et la CNIL, et ce à quoi votre Captive Portal doit ressembler pour vous maintenir du bon côté de la loi. Commençons par les fondamentaux. La LGPD — loi numéro 13.709 — est entrée en vigueur en août 2020, les sanctions administratives ayant débuté en août 2021. Elle a été calquée de près sur le GDPR, ce qui signifie que si vous comprenez l'un, vous disposez d'une base solide pour l'autre. Mais le diable se cache dans les détails. Dès qu'un invité se connecte à votre réseau WiFi, vous collectez des données personnelles. Les adresses MAC, les adresses IP, les horodatages de connexion, la durée de la session — tout cela entre directement dans la définition des données personnelles de la LGPD. Ajoutez-y un formulaire d'inscription sur un Captive Portal collectant des noms, des adresses e-mail ou des numéros de téléphone, et vous entrez de plain-pied dans un domaine qui exige une base légale de traitement claire. La LGPD prévoit dix bases légales en vertu de l'article 7. Pour le WiFi invité, trois d'entre elles sont particulièrement pertinentes. Premièrement, le consentement — article 7, chiffre romain un. C'est la base la plus simple : l'invité accepte activement votre avis de confidentialité et coche une case de consentement avant de se connecter. Le consentement doit être libre, éclairé, univoque et spécifique à la finalité. Vous ne pouvez pas regrouper le consentement marketing avec le consentement de connectivité de base — ces cases doivent être distinctes. Deuxièmement, l'exécution d'un contrat — article 7, chiffre romain cinq. Cela s'applique lorsque la connectivité WiFi fait partie d'un service contractuel. Les données de connexion d'un client d'hôtel ayant réservé une chambre incluant un accès WiFi peuvent être traitées sur cette base, car cela est nécessaire pour fournir le service pour lequel il a contracté. C'est une base plus simple pour les opérateurs de l'hôtellerie que le consentement, car elle ne nécessite pas de case à cocher active — elle est inhérente à la relation de service. Troisièmement, les intérêts légitimes — Article 7, chiffre romain neuf. C'est la base la plus flexible mais aussi la plus exposée sur le plan juridique. Vous devez réaliser et documenter une évaluation des intérêts légitimes — un test de mise en balance — démontrant que vos intérêts ne l'emportent pas sur les droits fondamentaux de la personne concernée. Pour la journalisation de base de la sécurité du réseau, cela est généralement défendable. Pour l'analyse comportementale ou le profilage marketing, cela devient beaucoup plus difficile à justifier. Maintenant, voici un élément qui piège de nombreux opérateurs : le Marco Civil da Internet. Il s'agit du cadre brésilien des droits civils sur Internet — Loi 12 965 de 2014 — et il coexiste avec la LGPD plutôt que d'être remplacé par celle-ci. En vertu de l'article 13 du Marco Civil, les fournisseurs de connexion Internet doivent conserver les journaux de connexion pendant une durée minimale d'un an. Si votre établissement fournit un accès Internet au public, vous entrez très probablement dans cette définition. Cela signifie que votre politique de conservation des données ne peut pas simplement stipuler que vous supprimez tout après 30 jours — vous avez l'obligation légale de conserver les journaux de connexion pendant douze mois, indépendamment de ce que dit votre avis de confidentialité LGPD sur la minimisation des données. Parlons de l'ANPD — l'Autoridade Nacional de Proteção de Dados. Elle a été établie par la LGPD elle-même et fonctionne comme une autorité fédérale spéciale rattachée au ministère de la Justice. Son mandat couvre la supervision, l'orientation et l'application de la loi. Comment se compare-t-elle à l'ICO au Royaume-Uni ou à la CNIL en France ? La réponse honnête est que l'ANPD est encore en phase de maturation. L'ICO a infligé des amendes de plusieurs dizaines de millions — British Airways a reçu une pénalité de vingt millions de livres, Marriott dix-huit virgule quatre millions. La CNIL a condamné Google à une amende de cent cinquante millions d'euros et Facebook à soixante millions. La première amende de l'ANPD, émise en juillet 2023, s'élevait à un total de quatorze mille quatre cents reais brésiliens — environ trois mille dollars américains — contre une petite entreprise de télémarketing. En 2024, ses mesures d'application visaient toutes des entités du secteur public et se sont soldées par des avertissements plutôt que par des sanctions financières. Mais ne vous laissez pas bercer par une fausse sécurité. La trajectoire de l'ANPD en matière d'application de la loi est clairement ascendante. En juillet 2024, elle a émis une mesure préventive contre Meta, ordonnant la suspension immédiate de la politique de Meta concernant les données d'entraînement de l'IA. En décembre 2024, elle a pris des mesures contre X Corp concernant les données des enfants. L'agenda réglementaire de l'ANPD pour 2025 et 2026 donne explicitement la priorité à l'IA et à la reconnaissance faciale — ce qui est directement pertinent pour tout établissement déployant l'authentification biométrique pour l'accès WiFi. La sanction maximale en vertu de la LGPD est de deux pour cent du chiffre d'affaires annuel brésilien d'une entreprise, plafonnée à cinquante millions de reais par infraction — soit environ neuf millions d'euros aux taux de change actuels. C'est nettement inférieur aux quatre pour cent du chiffre d'affaires mondial du GDPR, mais cela est calculé uniquement sur le chiffre d'affaires brésilien. Pour une multinationale ayant des activités importantes au Brésil, l'exposition reste matérielle. Une différence essentielle par rapport au GDPR : la LGPD exige un délégué à la protection des données pour tous les responsables de traitement, sans exception. Sous le GDPR, un DPO n'est obligatoire que dans des circonstances spécifiques. Sous la LGPD, si vous traitez des données personnelles au Brésil, vous en avez besoin. La résolution 18 de l'ANPD, publiée en juillet 2024, définit en détail les responsabilités et les qualifications requises. Les coordonnées du DPO doivent être divulguées publiquement — généralement sur votre site web. Les droits des personnes concernées sous la LGPD sont au nombre de neuf, contre huit pour le GDPR. Les différences pratiques pour les opérateurs WiFi sont doubles. Premièrement, vous disposez de quinze jours pour répondre à une demande d'accès de la personne concernée — soit la moitié du délai de trente jours prévu par le GDPR. Si vous gérez un réseau de grande envergure avec des milliers de connexions quotidiennes, vos processus de récupération de données et de réponse doivent être opérationnellement capables de respecter ce délai plus serré. Deuxièmement, la LGPD inclut un droit explicite de demander l'anonymisation des données, et pas seulement leur suppression. Votre plateforme doit prendre en charge ces deux types de réponses. Alors, à quoi ressemble concrètement un déploiement conforme ? Laissez-moi vous présenter les principales exigences de mise en œuvre. Votre Captive Portal doit afficher un avis de confidentialité en portugais — portugais du Brésil, et non portugais européen. L'avis doit identifier le responsable du traitement, indiquer la base légale du traitement, spécifier les finalités pour lesquelles les données seront utilisées, identifier les tiers avec lesquels les données seront partagées et fournir les coordonnées du DPO. C'est non négociable. Les cases à cocher de consentement doivent être décochées par défaut. Les cases pré-cochées ne constituent pas un consentement valide sous la LGPD, tout comme sous le GDPR. Le consentement marketing doit être distinct du consentement à la connectivité — vous ne pouvez pas conditionner l'accès à Internet à l'acceptation par l'invité de recevoir des e-mails promotionnels. Concernant la minimisation des données : ne collectez que ce dont vous avez réellement besoin. Si vous déployez un WiFi invité uniquement pour la connectivité, vous n'avez pas besoin d'une date de naissance ou d'une adresse personnelle. Si vous gérez un programme de fidélité via votre plateforme WiFi, vous devez justifier chaque champ de données supplémentaire par rapport à l'objectif déclaré. Pour la conservation des données, documentez explicitement votre politique. Journaux de connexion : un an minimum en vertu du Marco Civil. Données marketing : à conserver uniquement le temps nécessaire à la finalité déclarée, et à supprimer dès le retrait du consentement. Votre plateforme d'analyse WiFi doit prendre en charge des calendriers de conservation automatisés et des flux de suppression. Le piège le plus important que je constate en pratique est le problème du regroupement des consentements. Les opérateurs conçoivent un écran de consentement unique qui couvre la connectivité, les analyses et le marketing en une seule case à cocher. Ce n'est pas conforme, que ce soit sous la LGPD ou le GDPR. Séparez les consentements. Oui, cela ajoute de la friction. Mais l'alternative est une mesure d'application qui vous coûtera beaucoup plus cher. Le deuxième piège majeur consiste à ignorer le Marco Civil. Les opérateurs qui se concentrent entièrement sur la conformité à la LGPD et oublient l'obligation de conservation des journaux de connexion pendant un an en vertu du Marco Civil s'exposent à un autre type de risque juridique. Il s'agit de deux instruments juridiques distincts et tous deux s'appliquent. Troisième piège : ne pas mettre en œuvre un flux de travail pour les droits des personnes concernées. Il ne suffit pas d'avoir un avis de confidentialité qui indique de nous contacter pour exercer vos droits. Vous avez besoin d'un processus opérationnel — une adresse e-mail dédiée ou un formulaire web, un flux de travail interne documenté et la capacité technique de récupérer, corriger, exporter ou supprimer les données d'un individu spécifique dans un délai de quinze jours. Laissez-moi passer en revue quelques questions rapides que j'entends régulièrement de la part de mes clients. Avons-nous besoin d'un DPO si nous n'avons qu'un seul site au Brésil ? Oui. La LGPD s'applique à tous les responsables du traitement qui traitent des données personnelles au Brésil, quelle que soit leur taille. Pouvons-nous utiliser l'intérêt légitime comme base pour nos analyses WiFi ? Potentiellement, mais vous devez disposer d'une évaluation documentée de l'intérêt légitime. Pour la sécurité réseau de base et les analyses opérationnelles, c'est défendable. Pour le profilage marketing comportemental, c'est beaucoup plus difficile à justifier. Qu'en est-il de l'authentification biométrique — la reconnaissance faciale sur le Captive Portal ? Il s'agit de données sensibles au sens de la LGPD. Vous avez besoin d'un consentement explicite et vous devez être très prudent quant à la manière dont vous les stockez et les traitez. L'ANPD a cela directement dans son collimateur pour une application en 2025-2026. Nous sommes conformes au GDPR — cela nous couvre-t-il pour la LGPD ? En grande partie oui, mais pas entièrement. Le délai de réponse plus court pour les demandes d'accès des personnes concernées, l'obligation d'avoir un DPO, l'obligation de conservation du Marco Civil et l'exigence d'un avis en langue portugaise sont autant de domaines où la seule conformité au GDPR ne suffira pas. Pour résumer : la LGPD est un cadre de protection des données mature, inspiré du GDPR, avec certaines caractéristiques importantes propres au Brésil. Pour les opérateurs de WiFi invité, les actions clés sont les suivantes. Auditez votre Captive Portal : votre avis de confidentialité est-il en portugais brésilien, mentionne-t-il la base légale, vos cases à cocher de consentement sont-elles distinctes et décochées par défaut ? Nommez un DPO et publiez ses coordonnées. C'est obligatoire pour tous les responsables du traitement. Vérifiez votre politique de conservation des données par rapport à l'exigence d'un an de conservation des journaux de connexion du Marco Civil. Construisez un flux de travail pour les droits des personnes concernées capable de répondre dans un délai de quinze jours. Et si vous déployez une forme d'authentification biométrique ou d'analyse avancée, réalisez une analyse d'impact sur la protection des données avant de lancer le service. La plateforme de WiFi invité de Purple est conçue en tenant compte de ces exigences de conformité — flux de consentement configurables, calendriers de conservation automatisés et outils pour les droits des personnes concernées qui fonctionnent à la fois pour les juridictions GDPR et LGPD. Si vous déployez vos services au Brésil et souhaitez discuter de votre architecture de conformité spécifique, contactez l'équipe de Purple. C'est tout pour le briefing d'aujourd'hui. Merci pour votre écoute, et à la prochaine fois.